Spring Security缓存请求详解

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量4.8k 收藏 3
点赞数
分类专栏: Spring Security 文章标签: Spring Security 缓存请求 CAS 跳转流程 原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fouy_yun/article/details/81153829
版权

我们在Java开发中,可能会经常使用到Spring Security来实现系统的权限控制。在企业级应用中,也有可能会使用Spring Security集成CAS来实现单点登录和权限控制。当然一些独立的系统(如人事管理系统等),也有可能会直接使用本系统的用户名密码认证。但是各位同学有没有想过,当系统由一个页面跳转至登录页时,当完成登录之后是如何跳转回原页面的呢?下面以Spring Security + CAS的场景为Demo介绍。

请求流程

Spring Security作为权限管理框架的粗略实现流程如下:

这里写图片描述

Spring Security中依赖org.springframework.security.web.FilterChainProxy 来执行所有的Filter。Security包含登录和授权两方面内容,登录主要集中在org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter,它对于用户名密码登录CAS登录分别有如下的认证过滤器:

这里写图片描述

授权操作主要集中在 org.springframework.security.web.access.intercept.FilterSecurityInterceptor。所有的请求到了这一个filter,如果这个filter之前没有执行过的话,那么首先执行 super.beforeInvocation(fi) 这个是由AbstractSecurityInterceptor提供,它是Spring Security处理鉴权的入口。

代码实现

ExceptionTranslationFilter

ExceptionTranslationFilter 是Spring Security的核心filter之一,用来处理AuthenticationException和AccessDeniedException两种异常。AuthenticationException指的是未登录状态下访问受保护资源,AccessDeniedException指的是登陆了但是由于权限不足(比如普通用户访问管理员界面)。

当发生异常时,ExceptionTranslationFilter 持有两个处理类,分别是AuthenticationEntryPoint和AccessDeniedHandler。

ExceptionTranslationFilter 对异常的处理是通过这两个处理类实现的,处理规则很简单:

  1. 如果异常是 AuthenticationException,使用 AuthenticationEntryPoint 处理(我们可以通过自定义AuthenticationEntryPoint来引导用户登录)。
  2. 如果异常是 AccessDeniedException 且用户是匿名用户,使用 AuthenticationEntryPoint 处理。
  3. 如果异常是 AccessDeniedException 且用户不是匿名用户,如果否则交给 AccessDeniedHandler 处理。

主要判断逻辑如下所示:

private void handleSpringSecurityException(HttpServletRequest request,
            HttpServletResponse response, FilterChain chain, RuntimeException exception)
            throws IOException, ServletException {
        if (exception instanceof AuthenticationException) {
            logger.debug("Authentication exception occurred; redirecting to authentication entry point", exception);

            sendStartAuthentication(request, response, chain, (AuthenticationException) exception);
        } else if (exception instanceof AccessDeniedException) {
            if (authenticationTrustResolver.isAnonymous(SecurityContextHolder.getContext().getAuthentication())) {
                logger.debug("Access is denied (user is anonymous); redirecting to authentication entry point", exception);

                sendStartAuthentication(
                        request,
                        response,
                        chain,
                        new InsufficientAuthenticationException("Full authentication is required to access this resource"));
            } else {
                logger.debug("Access is denied (user is not anonymous); delegating to AccessDeniedHandler", exception);

                accessDeniedHandler.handle(request, response, (AccessDeniedException) exception);
            }
        }
    }

AuthenticationEntryPoint 默认实现是 LoginUrlAuthenticationEntryPoint, 该类的处理是转发或重定向到登录页面,如下所示:

/**
 * 默认跳转到登录URL
 */
public void commence(HttpServletRequest request, HttpServletResponse response,
        AuthenticationException authException) throws IOException, ServletException {

    String redirectUrl = null;
    if (useForward) {
        if (forceHttps && "http".equals(request.getScheme())) {
            // First redirect the current request to HTTPS.
            // When that request is received, the forward to the login page will be
            // used.
            redirectUrl = buildHttpsRedirectUrlForRequest(request);
        }

        if (redirectUrl == null) {
            String loginForm = determineUrlToUseForThisRequest(request, response, authException);
            if (logger.isDebugEnabled()) {
                logger.debug("Server side forward to: " + loginForm);
            }
            RequestDispatcher dispatcher = request.getRequestDispatcher(loginForm);
            dispatcher.forward(request, response);
            return;
        }
    } else {
        // redirect to login page. Use https if forceHttps true
        redirectUrl = buildRedirectUrlToLoginPage(request, response, authException);
    }

    redirectStrategy.sendRedirect(request, response, redirectUrl);
}

当我们使用Security与CAS集成时,可以重写 AuthenticationEntryPoint 如下:

public final void commence(final HttpServletRequest servletRequest, final HttpServletResponse response,
        final AuthenticationException authenticationException) throws IOException, ServletException {

    final String urlEncodedService = createServiceUrl(servletRequest, response);
    final String redirectUrl = createRedirectUrl(urlEncodedService);

    preCommence(servletRequest, response);

    String type = servletRequest.getHeader(HEADER_RESPONSE_CONTENT_TYPE);
    String requestURI = servletRequest.getServletPath();
    LOG.info("invalid session for content type < " + type + ">" + " and url:" + requestURI);

    // web端ajax异步session失效跳转到登录页面
    if (servletRequest.getHeader("x-requested-with") != null
            && servletRequest.getHeader("x-requested-with").equalsIgnoreCase("XMLHttpRequest")) {
        LOG.info("web端ajax异步调用session失效,需要登录");
        PrintWriter writer = response.getWriter();
        writer.write(SESSION_TIME_OUT_MSG);
        writer.close();
        return;
    }

    if (RESPONSE_TYPE_APPLICATION_JSON.equalsIgnoreCase(type) && isNotCheckUserUrl(requestURI)) {
        LOG.info("return json format data of session timeout.");
        PrintWriter writer = response.getWriter();
        writer.write(JSON_MSG_INVALID_SESSION);
        writer.close();
    } else {
        response.sendRedirect(redirectUrl);
    }
}

AccessDeniedHandler 默认实现是 AccessDeniedHandlerImpl。该类对异常的处理是返回403错误码。如下所示:

public void handle(HttpServletRequest request, HttpServletResponse response,
        AccessDeniedException accessDeniedException) throws IOException, ServletException {
    if (!response.isCommitted()) {
        if (errorPage != null) {
            // Put exception into request scope (perhaps of use to a view)
            request.setAttribute(WebAttributes.ACCESS_DENIED_403, accessDeniedException);
            // Set the 403 status code.
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);

            // forward to error page.
            RequestDispatcher dispatcher = request.getRequestDispatcher(errorPage);
            dispatcher.forward(request, response);
        } else {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, accessDeniedException.getMessage());
        }
    }
}

用户未登录的情况下访问受保护资源,ExceptionTranslationFilter 捕获到AuthenticationException异常。页面需要跳转,ExceptionTranslationFilter在跳转前使用requestCache缓存request。

protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
        AuthenticationException reason) throws ServletException, IOException {
    // SEC-112: Clear the SecurityContextHolder's Authentication, as the existing Authentication is no longer considered valid
    SecurityContextHolder.getContext().setAuthentication(null);
    requestCache.saveRequest(request, response);
    logger.debug("Calling Authentication entry point.");
    authenticationEntryPoint.commence(request, response, reason);
}

AbstractAuthenticationProcessingFilter

当用户在CAS完成登录操作之后,会让浏览器重定向至 https://www.moguhu.com/login/cas?ticket=ST-xxx (高版本Security,低版本的后缀为 /j_spring_cas_security_check)。校验通过后会进入到 CasAuthenticationFilter ,如下所示:

这里写图片描述

此时会调用如下方法(AbstractAuthenticationProcessingFilter):

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, 
    FilterChain chain, Authentication authResult) throws IOException, ServletException {

    if (logger.isDebugEnabled()) {
        logger.debug("Authentication success. Updating SecurityContextHolder to contain: " + authResult);
    }
    SecurityContextHolder.getContext().setAuthentication(authResult);
    rememberMeServices.loginSuccess(request, response, authResult);

    // Fire event
    if (this.eventPublisher != null) {
        eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
    }

    successHandler.onAuthenticationSuccess(request, response, authResult);
}

上面的successHandler.onAuthenticationSuccess() (SavedRequestAwareAuthenticationSuccessHandler) 方法实现如下:

@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, 
    Authentication authentication) throws ServletException, IOException {
    // 根据SESSIONID获取到上一次缓存的地址
    SavedRequest savedRequest = requestCache.getRequest(request, response);

    if (savedRequest == null) {
        super.onAuthenticationSuccess(request, response, authentication);
        return;
    }
    String targetUrlParameter = getTargetUrlParameter();
    if (isAlwaysUseDefaultTargetUrl()
            || (targetUrlParameter != null && StringUtils.hasText(request.getParameter(targetUrlParameter)))) {
        requestCache.removeRequest(request, response);
        super.onAuthenticationSuccess(request, response, authentication);

        return;
    }

    clearAuthenticationAttributes(request);

    // 跳转至上次缓存的URL
    String targetUrl = savedRequest.getRedirectUrl();
    logger.debug("Redirecting to DefaultSavedRequest Url: " + targetUrl);
    getRedirectStrategy().sendRedirect(request, response, targetUrl);
}

RequestCache的实现是 org.springframework.security.web.savedrequest.HttpSessionRequestCache,其实就是在Session中以key为 SPRING_SECURITY_SAVED_REQUEST 存储链接。到此,上面的跳转流程就通了。

参考:https://blog.coding.net/blog/Explore-the-cache-request-of-Security-Spring
链接:http://moguhu.com/article/detail?articleId=102

风度玉门
关注
专栏目录
Spring Security 核心配置详解
程序员光剑
08-06 962
Spring Security是一个用于认证、授权、加密和保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
spring security认证过程详解
CVPR收割机的博客
04-18 3899
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
Spring Security结合Redis实现缓存功能
xxxzzzqqq_的博客
03-10 600
本文简单介绍了下 Redis 的使用,结合 SpringSecurity 用于用户注册时增加验证码校验逻辑,以及用户登录时将用户名存储到 Redis 中,以供后续使用。验证码的逻辑在实际项目中可以添加,用户信息存储则推荐考虑 JWT,本文案例还未自定义授权处理逻辑,相对来说还是较简单。
深入浅析 Spring Security 缓存请求问题
08-26
主要介绍了 Spring Security 缓存请求问题,本文通过实例文字相结合的形式给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友参考下吧
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1368
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
spring security缓存
zzycgfans的blog
04-21 5133
  刚给系统做了一个修改登录用户密码的小功能,用了一下发现数据库的密码已经修改了,可是用新密码死活也登不进去,用原来的密码竟然进去了,在网上找了一下发现spring security为了提高效率,自己维护了一个缓存,它将第一次登录的用户放入了缓存,在第二次登陆时没有访问数据库,而是直接在缓存中拿到数据。要改掉这问题其实很简单: userCache提供了两种实现: NullUserC
sprintboot使用spring-security包,缓存内存与redis共存
weixin_47136046的博客
01-25 942
项目修改需求描述 项目需要使用分布式缓存机制,但是使用@Cacheable原始仅配置了内存版的,故此次需要改成redis用以支持多应用模式的。 项目中如果直接改成redis的,存在一个问题。如果内存对象同一类,比如都是String的list对象,存的key值又都是"code",会把缓存给冲掉,所以需要对redis的做后缀处理。又因为只有一个redis服务器,所以需要对缓存做项目的前缀处理。 还希望能支持历史项目,所以顺便就做了CacheManager处理。 ......
Spring Security(4):权限缓存
weixin_33895516的博客
11-08 1050
Spring Security的权限缓存与数据库管理有关,都是在用户认证上做文章,因此都与UsrtDetailsService有关。与数据库管理不同的是,Spring Security提供了一个实现了UsrtDetailsService的缓存类CachingUserDetailsService。CachingUserDetailsService1:构造函数接受了一个真正用于加...
SpringSecurity框架【详解
m0_67266585的博客
07-28 1184
SpringSecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求。在Java生态中,目前有和认证和授权。...
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4899
本文重点解析了SpringSecurity在登录过程中的详细流程,以及整体总结
权限学习 -- Spring Security数据库、缓存、自定义决策
白玉灬风的博客
11-30 1958
数据库管理 Spring Security的核心处理流程:当一个用户登录时,会先执行身份认证,如果身份认证未通过会邀请用户重新认证。当用户身份认证通过后会调用角色管理器判断他是否可以访问。如果要实现数据库管理用户及权限就需要自定义用户登录功能。Spring Security为我们提供了UserDetailService接口,该接口只有一个方法UserDetail loadUserByUser
认证、授权攻略三(6)、spring security缓存UserDetails的CachingUserDetailsService
java爱分享
07-27 790
上一篇:【认证、授权攻略三(5)、spring security自定义403页面】 继之前系列做如下修改 pom.xml新增依赖 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context-support&l...
Spring Security SavedRequestAwareAuthenticationSuccessHandler
fggdgh的博客
05-28 2653
Spring Security SavedRequestAwareAuthenticationSuccessHandler
SpringBoot整合SpringSecurity实现权限控制(九):快速实现页面缓存
我的博客
11-17 1405
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 《SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计》 《SpringBoot整合SpringSecurity实现权限控制(三):前端动态装载路由与菜单》 《SpringBoot整合SpringSecurity实现权限控制(四):角色管理》 《SpringBoot整合SpringSecurity实现权限控制(五):用户管理》 《SpringBoot整合SpringSe
Spring Boot Security认证:Redis缓存用户信息
学IT,找陈寒
12-24 8094
Spring Boot SecuritySpring框架的一个子项目,它提供了全面而灵活的安全性解决方案。通过Spring Boot Security,我们可以轻松地实现用户认证、授权、会话管理等功能,而且可以方便地与Spring Boot应用集成。本文介绍了如何使用Spring Boot Security进行认证,并通过Redis缓存用户信息以提高系统性能。通过配置,我们成功地将用户信息存储到了Redis中,并在Spring Security中进行了集成。
使用Spring SecuritySpring Boot中进行缓存
最佳 Java 编程
06-10 1328
在这篇文章中,我想分享一下O&B的一个团队的经验教训。 他们正在使用带有Spring SecuritySpring Boot。 默认情况下,Spring Security保护的所有内容都将通过以下HTTP标头发送到浏览器: Cache-Control: no-cache, no-store, max-age=0, must-revalidate 本质上,响应将永远不会被浏览器缓存。...
springsecurity使用redis缓存会话设计流程
weixin_43472847的博客
05-29 286
流程图如下:
SpringSecurity保存登录前的请求页面和跳转回登录前页面的源码分析
HHoao的博客
05-03 1264
SpringSecurity保存登录前的请求页面和跳转回登录前页面的源码分析 保存 ExceptionTranslationFilter在处理未认证信息异常时会使用RequestCache保存登录前请求页面信息。 所以我们就从创建ExceptionTranslationFilter和RequestCache开始分析。 ExceptionTranslationFilter和RequestCache都是由ExceptionHandlingConfigurer创建的,如下: ExceptionHandlingC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值